Succendo-SSL-VPN培训教材

Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.CompanyO2SecuritySuccendoSSLVPN产品培训教材3.5版本Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company议程SSLVPN简介O2SecuritySuccendoSSLVPN网关框架SuccendoSSLVPN和其他产品的对比SuccendoSSLVPN的高级功能版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company议程SSLVPN简介O2SecuritySuccendoSSLVPN网关框架SuccendoSSLVPN和其他产品的对比SuccendoSSLVPN的高级功能版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company企业网络的基本概况版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company应用需求每天见客户谈生意，还要回去收邮件、下订单，真累啊！要是……要出差给客户调机器了，这次可得准备充分点。上次忘带一个升级文件，硬是麻烦同事用QQ给我传了1小时。要是……我们访问总部内的OA、ERP等系统通过远程网络访问安全吗？要是……企业内网每天有很多文件要批，还有不少应酬，要是……领导销售技术子公司版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company传统IPSECVPN的缺陷问题2–用户端需要安装客户端软件问题3–受网络环境以及用户端配置影响问题4-需要改变防火墙配置问题5–整个网络可能暴漏在外问题1–NAT会阻断IPsec连线版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.CompanySSLVPN的优势多种加密算法保证传输安全防火墙仅需打开一个端口：443数据信息及网络更安全用户端无需安装客户端软件不受限于客户端平台环境NAT不会阻断SSLVPN连线无须修改当前网络拓扑版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company议程SSLVPN简介O2SecuritySuccendoSSLVPN网关框架核心实体介绍基本配置和功能实现演示用户登录过程演示网关常见部署模式SuccendoSSLVPN和其他产品的对比SuccendoSSLVPN的高级功能版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company核心实体介绍角色用户服务SSLVPN需要解决的问题：谁在什么情况下能够访问什么资源谁：用户资源：服务用户和服务之间的授权关系：角色SUCCENDOSSLVPN的三要素：版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company核心实体介绍角色用户服务角色的衍生物：条件和属性条件属性重认证阻止上网有效时间主机绑定缓存清理主机保护等凭证类型访问控制主机检测决定该角色有效的条件决定该角色能够做些额外事，或者有些什么特性分类分类版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company核心实体介绍-条件主机检查凭证类型访问控制是否已经安装杀毒软件预置：TrendOfficeScan7.3.0McAfee8.0.0NortonAntiVirus金山毒霸2006瑞星杀毒软件2006KasperskyAnti-Virus6.0McAfee7.0.0是否开启了WindowsFirewall是否开启了Windows自动更新管理员可自主定义检查规则用户名密码||&限定用户登录时必须使用用户名和密码证书用户名密码+证书限定某一个单一IP地址/一个IP地址段的用户，能否从SSLVPN设备的一个指定接口访问SSLVPN。可设定允许/拒绝两个动作。版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company主机绑定主机保护缓冲清理用户第一次登陆成功后，VPN会记录用户登陆PC的硬盘特征码，从而限定用户以后只能从此PC上登陆的键盘保护进程保护设置用户端是否能使用某些键盘操作实施检查客户端指定进程的运行状态，保证这些进程处于管理员指定的运行或者禁止的状态在用户退出SSLVPN之后，清理用户的上网痕迹，还可清理用户PC上管理员指定路径下的文件ABCDEFG至此，用户通过客户端安全检查，并获取安全属性后，可以得到服务列表核心实体介绍-属性版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company核心实体介绍用户服务角色条件属性用户认证方式本地用户名密码证书用户名密码+证书ADLDAPRADIUS短消息代理NCFILEPASSUDESK1.身份认证2.条件检查3.赋予属性4.获取服务NOTE1.请在客户端安全里定义相应的条件和属性。2.各种认证方式、条件和属性以及服务的配置请查看实验指导。版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company核心实体介绍-服务的高级功能客户端应用程序绑定：1.允许终端客户保持原有的使用习惯，如原来使用IE作为默认浏览器，在使用SSLVPN来访问服务后，仍绑定IE作为浏览器2.添加资源访问路径3.变更服务访问端口（详细配置见实验指导）流量控制：1.针对代理模式下的所有服务，可对其实施流量控制2.针对某个用户，设定流量统计的初始时间，在一个特定的时间周期内，如果用户使用此服务的流量达到设定值，则不允许用户继续使用该服务。用户只能在下一个流量计时周期开始后，才能重新放问服务。数据压缩：1.全局压缩：将客户端与SSLVPN之间的全部数据进行压缩后传输。2.端到端的数据传输压缩：将端到端隧道中要传输的数据先进行压缩。虚拟服务：通过地址和端口映射的设置，无需通过SSLVPN进行身份认证，即可获取内网基于80和3389端口的服务资源。(详细配置见实验指导)版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company单点登陆技术-标准WINDOWS窗口认证登陆SSLVPN，在“设置”里找到并配置PIA的信息VPN记录PIA信息用户登陆SSLVPN，从客户端配置PIA（密码输入助手）SSLVPN在用户发起服务请求时，从PIA中取出认证信息自动为用户完成认证工作用户无需二次认证即能访问后端服务Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company单点登陆技术-WEB认证登陆SSLVPN；请求访问后端服务输入服务认证信息VPN记录成功认证信息用户访问后端服务时，初次输入密码成功访问服务。此时，SSLVPN会记录下服务认证信息。以后用户登陆SSLVPN后，无须二次认证，即可访问后端服务NOTE:单点登陆的配置信息请参见单点登陆配置文档。版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company议程SSLVPN简介O2SecuritySuccendoSSLVPN网关框架核心实体介绍基本配置和功能实现演示用户登录过程演示网关常见部署模式SuccendoSSLVPN和其他产品的对比SuccendoSSLVPN的高级功能版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company基本配置和实现功能演示创建一个本地用户名和密码创建一个角色对角色的条件和属性进行定义条件：限定客户端只能通过用户名和密码的方式进行认证属性：允许绑定用户名和登陆PC，允许取消绑定和重绑定创建一个HTTP的服务，并对服务流量进行控制使用客户端应用，绑定打开HTTP服务时自动调用的页面用户登陆系统，可选择使用虚拟键盘的方式输入用户名和密码用户退出系统，查看用户会话等日志审计记录版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company议程SSLVPN简介O2SecuritySuccendoSSLVPN网关框架核心实体介绍基本配置和功能实现演示用户登录过程演示网关常见部署模式SuccendoSSLVPN和其他产品的对比SuccendoSSLVPN的高级功能版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company用户登陆过程演示-WEB浏览器账号管理员用户单一用户用户组分组管理IP域名身份认证通过虚拟门户登陆IP域名多虚拟门户身份认证虚拟门户是一种能够通过不同的配置向终端用户提供不同登陆界面的技术。虚拟门户上显示出终端用户可采用的所有的认证方式，如本地认证，CA证书认证，LDAP，AD，RADIUS认证等。虚拟门户多适用于为企业内部各个不同部门设定不同的登陆页面，使得用户登录时容易识别登陆的是自己的部而且本部门还可以在本部门的虚拟门户上发布本部门的公告信息。单一虚拟门户版本号3.5Copyright©2008O2SecurityLtd.Allrightsreserved.O2SecurityLtd.isanO2MicroInternationalLtd.Company专有客户端登陆认证选择一种认证方式输入用户名密码或者使用证书认证步骤二步骤三输入SSLVPN的IP地址或者域名地址步骤一版本号3.5Copyright